16 ноября, пятница 15:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Информационная безопасность в филиалах

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Информационная безопасность в филиалах

    Некий банк из первой страницы рейтинга приглашает стать спецом по ИБ в одном своём подмосковном филиале.
    Сразу напрашиваются следующие вопросы:
    1) я когда сам занимался аудитом филиалов другого банка, никаких спецов по ИБ там не было. приказом назначался например начальник ИТ или главный админ итд или же уже ИБ была "прописана" на ком то. А тут спец по ИБ в филиал.
    2) Чем он там должен заниматься? Очевидно, что все политики трижды есть в голове банка, трижды в них должно написано, что что такое филиал и как он должен бороться с ИБ.
    3) Или надо расценивать филиал = минибанк, где всё своё: ИТ спецы, пользователи, руководство, железо в серверной и надо заниматься от и до инфобезом, то см п.1.
    Поясните как и чем вероятно предстоит заниматься.

  • #2
    Сообщение от UzbekRus Посмотреть сообщение
    Некий банк из первой страницы рейтинга приглашает стать спецом по ИБ в одном своём подмосковном филиале.
    Сразу напрашиваются следующие вопросы:
    1) я когда сам занимался аудитом филиалов другого банка, никаких спецов по ИБ там не было. приказом назначался например начальник ИТ или главный админ итд или же уже ИБ была "прописана" на ком то. А тут спец по ИБ в филиал.
    2) Чем он там должен заниматься? Очевидно, что все политики трижды есть в голове банка, трижды в них должно написано, что что такое филиал и как он должен бороться с ИБ.
    3) Или надо расценивать филиал = минибанк, где всё своё: ИТ спецы, пользователи, руководство, железо в серверной и надо заниматься от и до инфобезом, то см п.1.
    Поясните как и чем вероятно предстоит заниматься.
    1. Зависит от масштабов банка. Знаю банк, у которого доп. офисов в московской области едва ли не больше, чем в Москве и всех остальных регионах вместе взятых, так что даже нормальным аудитом из Москвы заниматься нереально.

    2. "За каждым хорошо и правильно сделанным делом дорлжен стоять конкретный живой человек. С автоматом." От того, что политики трижды есть, банку ни холодно и не жарко. Нужно еще добиться их исполнения на местах.

    3. Иногда бвает именно так. У некоторых банков региональные центры даже структуру бизнеса и набор банковских продуктов самостоятельно разрабатывают - в определеных пределах.

    Комментарий


    • #3
      Попробую подумать, что можно делать из практики:
      - опечатать компы с серверами
      - убрать админские права
      - постирать лишний софт
      - задушить ICQ, вэбпочту, всякие трекеры
      - организовать резервку всего и всея
      - заткнуть все интерфейсы стикерами или девайслоком
      - подумать о восстановлении каждого сервиса после падения
      - если свой домен, то навесить парольную политику
      - организовщина типа политики чистого стола и скринсейвера если не на автомате
      - криптуха: кто чего генерит и кто куда чего кладет
      - натравить сканеры уязвимостей на все хосты и заткнуть дыры заплатками
      - в пределе обнести филиал забором, повесить на вход замок и посадить псину
      - в должностных проверить требования соблюдения ИБ и является ли оно нарушением правил внутр распорядка.

      Что еще я забыл?
      Последний раз редактировалось Шауро Евгений; 21.02.2010, 17:52.

      Комментарий


      • #4
        Сообщение от UzbekRus Посмотреть сообщение
        Попробую подумать, что можно делать из практики:[skip]

        Что еще я забыл?
        Вы забыли спросить у бизнеса, что нужно ему и для чего он вас нанимает.

        Комментарий


        • #5
          Сообщение от Алексей Лукацкий Посмотреть сообщение
          Вы забыли спросить у бизнеса, что нужно ему и для чего он вас нанимает.
          1. иногда бизнес и сам не ответит на вопрос - зачем ему нужна ИБ ...
          2. подозреваю что на практике нанимает данного специалиста не бизнес, а скорее всего подразделение ИБ из центрального офиса.
          3. вот у них лучше и спросить чем же надо будет заниматься. не думаю что деятельность специалиста в филиале сможет идти в разрез с деятельностью ИБ центрального офиса...

          Комментарий


          • #6
            Сообщение от UzbekRus Посмотреть сообщение
            Попробую подумать, что можно делать из практики:
            - опечатать компы с серверами
            - убрать админские права
            - постирать лишний софт
            - задушить ICQ, вэбпочту, всякие трекеры
            - организовать резервку всего и всея
            - заткнуть все интерфейсы стикерами или девайслоком
            - подумать о восстановлении каждого сервиса после падения
            - если свой домен, то навесить парольную политику
            - организовщина типа политики чистого стола и скринсейвера если не на автомате
            - криптуха: кто чего генерит и кто куда чего кладет
            - натравить сканеры уязвимостей на все хосты и заткнуть дыры заплатками
            - в пределе обнести филиал забором, повесить на вход замок и посадить псину
            - в должностных проверить требования соблюдения ИБ и является ли оно нарушением правил внутр распорядка.

            Что еще я забыл?
            "Не-не-не-не-не" (c)

            Я не знаю, о какой зарплате идет речь, но, допустим, 60 000 р. без учета НДФЛ. Это значит, что банку такой человек обходится примерно в 150,000 р. в месяц или около 2,000,000 р. в год.

            А теперь, положа руку на сердце, скажите: вы действительно считаете, что экономический эффект от всего, вами перечисленого, стоит этих денег? Поверьте, и близко не стоит

            Я так понимаю, речь идет о свежесозданной позиции, и у занимающего ее человека будет определенная самостоятельность в приняти решений? Тогда стоит исходить из того из того, что в банке сложилась примерно следующая ситуация. Филиал имеет свой зверинец серверов и серверных приложений, смного из которых разрабатываются и поддерживаютсясамостоятельно. У местного ИТ нет ни ресурсов, ни особого желания приводить все это в порядок с точки зрения безопасности - им важно, чтобы их хозяйство функционировало, но не более того. Попытки организовать все это дело "сверху" - дохлый номер. Во первых, чтобы разобраться в этом зверинце, головному офитсу нужно надолго откомандировать в филиал своего специалиста. Во-вторых, в противостоянии своего ИТ с вышестоящим ИБ руководство филиала будет защищать своих. А рычагов давления на руководство филиала у вышестоящего ИБ нет.

            Чтобы распутать такую схему, в структуру филиала вводят "крайнего" - специалиства, который организацтонно подчиняется руководству филиала и функционально подчиняется вышестоящей ИБ. Такой человек с одной стороны действует в пределах политики, устанавливаемой головным офисом, а с другой стороны - он свой, он хорошо представляет структуру приложений и процессов на месте, ему проще найти общий язык с местным ИТ. Получается такой локальный координатор, который теоретически способен организовать работу ИТ-подразделения по приведению всего этого хозяйства в порядок.

            Комментарий


            • #7
              Мне кажется, что нельзя ни линейно, ни не линейно интерпретировать размер выгоды рабовладельца от цены владения специалистом. Даже не обязательно ИБ направленности.
              Например ряд мер, да даже одна может снизить вероятность утечки какой-либо инфы (б. к. тайны). С другой стороны любой администратор "Вася" если его должным образом не мотивировать может легко запустить format all:, "забыв" сделать пару последних бекапов АБС. Ну понятно, что после этого Вася уже не жилец в банковской сфере, но он может легко уйти в другую. Или например база выданных кредитов завтра окажется на просторах интернета в обход любой DLP итд.
              То есть я к тому, что потратив на спеца 2 млн в год бизнесу не следует ждать эквивалентной отдачи в рублях.

              Комментарий


              • #8
                Сообщение от UzbekRus Посмотреть сообщение
                То есть я к тому, что потратив на спеца 2 млн в год бизнесу не следует ждать эквивалентной отдачи в рублях.
                Именно. Бизнес хочет получить гораздо большую отдачу. 2 вложить и 2 получить обратно - это неразумно и любой инвестор, делающий такие вложения, вызывет вопросы у своих собратьев.

                Комментарий


                • #9
                  Сообщение от UzbekRus Посмотреть сообщение
                  То есть я к тому, что потратив на спеца 2 млн в год бизнесу не следует ждать эквивалентной отдачи в рублях.
                  Хотите верьте, хотите нет, но, если бизнес выделил на что-то деньги, это значит, что он уже посчитал ожидаемую отдачу, и эта отдача больше чем вложение.

                  Комментарий


                  • #10
                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                    Именно. Бизнес хочет получить гораздо большую отдачу. 2 вложить и 2 получить обратно - это неразумно и любой инвестор, делающий такие вложения, вызывет вопросы у своих собратьев.
                    Бизнес - это слишком общее понятие в данном конкретном случае.. здесь ситуация когда в филиале новая должность ИБ.. И филиал скорее всего не инициатор этой должности.. А ИБ центрального офиса наверняка таких слов даже и не думало писать в обосновании.. Сколько видел (и писал сам) подобных документов - там все гораздо прозаичнее..

                    Комментарий


                    • #11
                      Сообщение от malotavr Посмотреть сообщение
                      Чтобы распутать такую схему, в структуру филиала вводят "крайнего" - специалиства, который организацтонно подчиняется руководству филиала и функционально подчиняется вышестоящей ИБ. Такой человек с одной стороны действует в пределах политики, устанавливаемой головным офисом, а с другой стороны - он свой, он хорошо представляет структуру приложений и процессов на месте, ему проще найти общий язык с местным ИТ. Получается такой локальный координатор, который теоретически способен организовать работу ИТ-подразделения по приведению всего этого хозяйства в порядок.
                      Это я думаю абсолютно точное описание того, что творится в типовом отдаленном филиале. Однако, Вашими же словами: "А стоит ли это 2.000.000 р./год ?"

                      Комментарий


                      • #12
                        Сообщение от NGBank Посмотреть сообщение
                        Однако, Вашими же словами: "А стоит ли это 2.000.000 р./год ?"
                        Зависит от банка и того, что хочет его руководство. Знаю случай, когда ценой вопроса было нахождение на своем посту одного из членов правления

                        Комментарий


                        • #13
                          Картина несколько проясняется. У них был спец, который уже сделал всё то, о чем я только подумал и ушел. А теперь они ищут человека, чтобы не дать развалиться ИБ и генерить ключи для ДБО. Однако уровень ЗП равен 16 тысяц. + 2*16 называются надбавка и могут платиться либо не платиться. Это федеральный банк. Топ 20. Место действия Москва. Занавес.

                          Комментарий


                          • #14
                            UzbekRus,
                            Однако уровень ЗП равен 16 тысяц. + 2*16 называются надбавка и могут платиться либо не платиться. Это федеральный банк. Топ 20. Место действия Москва. Занавес.
                            Пусть займутся поиском окончившего ВУЗ с местной пропиской. Ему для набора опыта и стажа (пару лет), им - заткнуть дыру...

                            Комментарий


                            • #15
                              Сообщение от surfer Посмотреть сообщение
                              UzbekRus,

                              Пусть займутся поиском окончившего ВУЗ с местной пропиской. Ему для набора опыта и стажа (пару лет), им - заткнуть дыру...
                              Да, это оптимальный вариант для филиала.
                              Однако коробит слух, что для ИБ достаточно студента, чтобы заткнуть дыру... Печально.

                              Комментарий


                              • #16
                                UzbekRus,
                                Однако коробит слух, что для ИБ достаточно студента, чтобы заткнуть дыру... Печально.
                                Это применимо только в данной ситуации. Можно, конечно, привлечь на данную позицию Алексея Лукацкого, только КПД при этом будет 0,1% (не говоря о зарплате и стремлении человека получать удовлетворение от работы)

                                Комментарий

                                Пользователи, просматривающие эту тему

                                Свернуть

                                Присутствует 1. Участников: 0, гостей: 1.

                                Обработка...
                                X